Компания Netskope Threat Labs зафиксировала резкий рост фишинговых атак, использующих сервисы Cloudflare R2 и Turnstile для обхода систем защиты. По данным экспертов, трафик на вредоносные страницы увеличился в 61 раз, что делает эту кампанию одной из самых масштабных в последнее время. Основной целью злоумышленников стали учетные данные пользователей Microsoft, однако фишинговые страницы также имитируют сервисы Adobe, Dropbox и других популярных облачных платформ.
Описание
География атак охватывает преимущественно Северную Америку и Азию, причем наиболее уязвимыми оказались компании из технологического, финансового и банковского секторов. Использование Cloudflare R2 позволяет злоумышленникам бесплатно размещать фишинговые страницы, а для усложнения их обнаружения применяются две ключевые технологии.
Первая из них - Cloudflare Turnstile, система защиты с CAPTCHA, которая блокирует автоматические сканеры и анализаторы URL, но пропускает реальных пользователей. Таким образом, антифишинговые системы не могут проверить содержимое страницы, в то время как жертвы беспрепятственно попадают на поддельные сайты. Вторая техника заключается в динамической загрузке вредоносного контента только при переходе с определенных реферальных ссылок, что делает фишинговые страницы практически невидимыми для автоматических средств мониторинга.
Этот метод позволяет злоумышленникам минимизировать риск обнаружения, так как контент загружается только для целевых жертв. Например, если пользователь переходит по ссылке из поддельного письма или сообщения, система распознает его как "доверенного" посетителя и отображает фишинговую форму. При этом сканеры, пытающиеся проверить URL напрямую, видят лишь пустую или безобидную страницу.
Эксперты Netskope подчеркивают, что подобные атаки демонстрируют растущую изощренность киберпреступников, которые активно используют легальные сервисы для маскировки своей деятельности. Cloudflare R2, предназначенный для хостинга статических сайтов, становится удобной платформой для размещения фишинговых страниц, а Turnstile - инструментом для обхода автоматических систем защиты.
Для защиты от подобных угроз специалисты рекомендуют компаниям усилить обучение сотрудников по вопросам кибербезопасности, внедрять многофакторную аутентификацию (MFA) и использовать расширенные системы мониторинга веб-трафика. Важно также проверять подозрительные ссылки вручную и обращать внимание на необычные рефереры или запросы на ввод учетных данных.
Данный случай еще раз подтверждает, что даже надежные облачные сервисы могут быть использованы злоумышленниками в преступных целях. Компаниям необходимо не только полагаться на автоматические средства защиты, но и развивать культуру кибербезопасности среди сотрудников, чтобы снизить риски успешных фишинговых атак.
Индикаторы компрометации
URLs
- http://pub-00268bd240fc441cb2f8557a6961d87d.r2.dev/verywebmail.html
- http://pub-0e459479bb894ae6a3446ba7783965b0.r2.dev/docusign encrypted.htm
- http://pub-16d24eae069c40dcb335224f9555d849.r2.dev/diom.html
- http://pub-19b440b384f449bc8f30a86a5f3c6049.r2.dev/code.html
- http://pub-1abd9bef283343da8c867e32a56a6050.r2.dev/link.html
- http://pub-1b0adb2146a640a0b0ec2645f84b6a9a.r2.dev/shaaa.html
- http://pub-1cd83eaf4a66425d86fb1e8f37610be0.r2.dev/index.html
- http://pub-1df03b95474e44baa86a0a11a33527d0.r2.dev/welcome.html
- http://pub-1f6ee74386dc4dc98c226f8a56f8e8c1.r2.dev/office.html
- http://pub-28dfeb6275f8415ba3e6b97dfff9ccfc.r2.dev/0012823733.html
- http://pub-2b0fffc523034ccc9ffa6fb26d5462e5.r2.dev/setting.html
- http://pub-3a226c66bcda41e4bbeec4790c71c89c.r2.dev/lanx_sl1.htm
- http://pub-3b2c4103dbe84e8081aa257826f25d54.r2.dev/noon.html
- http://pub-4054e7f05a57459e88c44b940037f4fb.r2.dev/wnnslo.htm
- http://pub-422f33674c4b4fe182123a25dbb97378.r2.dev/secu3.html
- http://pub-43c8427c1735476fb4e6b1b456757e0a.r2.dev/index2.html
- http://pub-44c085b5c63b4a438aed0cd194363508.r2.dev/index2.html
- http://pub-45f4523b469c4ea18afe1c70ebaabeda.r2.dev/index.html
- http://pub-48d3a24bafe348799aa16e3fbd5ead78.r2.dev/001zzz.html
- http://pub-4b8c37d5f65746878138f2a1665fc704.r2.dev/chi.html
- http://pub-50137e365ae14a91ad215a40f880bad1.r2.dev/link.html
- http://pub-51b3ca6392244b5bb14982b7ddf92f27.r2.dev/gaames.html
- http://pub-5431347746b0455bb6f7dbc419a23952.r2.dev/oeip.html
- http://pub-54efd4aa11884bfb834031d41082f502.r2.dev/res.html
- http://pub-5705d571c53847759ca1e27912b57837.r2.dev/authr.html
- http://pub-5c0aa65f5f224858a03e429b595c1811.r2.dev/dropbox-sign-in.html
- http://pub-5c8b0c206b484f208b18e2c09e806156.r2.dev/HX-ADFS_9.html
- http://pub-5d09e89ff38240f2b559297a9206beea.r2.dev/auth.html
- http://pub-62c47a7a8e0a4ca293b31ee18b2baf43.r2.dev/EmailVerification.html
- http://pub-62d1a4086e2a4406ae5e1a788e7a019b.r2.dev/action.html
- http://pub-6502dddebdc447ed9023277db681dd94.r2.dev/vm3.html
- http://pub-7c6128fbcd6a4ed3a12554f7446ffe16.r2.dev/inslo.htm
- http://pub-7e28a526d64340e89715cafd3ffddee3.r2.dev/alocate.html
- http://pub-7e71a0ecd46d4dc0ac25e43cbb595918.r2.dev/index.html
- http://pub-887adfef303443cc97eee0e66e6d6dbc.r2.dev/nick.html
- http://pub-9008e63dbf464532acb4ebdafa3bfb86.r2.dev/S3M6S5.html
- http://pub-9064d4445dc3440599c3d2cab66301d9.r2.dev/verication.html
- http://pub-93bd771473c24746860b98ace628fe91.r2.dev/ourteam.html
- http://pub-99eed73366de4872bbe331bbbfb758cf.r2.dev/email.html
- http://pub-9b0c4b61dcdb4349b13b6e0f0902a227.r2.dev/OWAOutlook.html
- http://pub-9eaf08966d54441789d558bfe758e12c.r2.dev/Diceyencode.html
- http://pub-9f884b1d186548eea381cab00a0f702c.r2.dev/emailverification.html
- http://pub-a0f9c6938a374a2089f6fad1e6e85d1b.r2.dev/index2.html
- http://pub-a8f7a7bdbbef4c7aa377b495dabb19ff.r2.dev/saved.html
- http://pub-b0879d66c06e4547a6fe4d002fc9f88e.r2.dev/xtrst.html
- http://pub-b08c2d9bbe594efba55b1b8d4009a382.r2.dev/sam365.html
- http://pub-b2955bd5cc5a447cba7f9017e8915538.r2.dev/micr@s0ft.html
- http://pub-b2955bd5cc5a447cba7f9017e8915538.r2.dev/webmail.html
- http://pub-b889ecc576cd47b8a7dae94590568f86.r2.dev/keep.html
- http://pub-c27949832b64423ab5f75bafdf57ba92.r2.dev/authe.html
- http://pub-c6542b65e10b483d9136554aa9cb05e8.r2.dev/passwordverification.html
- http://pub-c8dc8d57c6e24653a737a5acb81893ee.r2.dev/office365.html
- http://pub-c92a4cf1fb774dd79b9c7d32023ab3fa.r2.dev/llo.html
- http://pub-ca01b8d361b540ce8256226365665de0.r2.dev/index2.html
- http://pub-cc4afac7b0304f62946883c1b996ddc3.r2.dev/bookingmail.html
- http://pub-d0a002d03d4d4468a1a3a4788d44d971.r2.dev/apps.html
- http://pub-d1729d90c762460c9395a066038cdaf9.r2.dev/backgroundfull.html
- http://pub-d3ef7b90634c41c2aea65d57a1da514f.r2.dev/dashworkers.html
- http://pub-dc7d3a6ae1254ac4b7b0a0873ef10ed1.r2.dev/login.html
- http://pub-dda005a462634fea953ace187610f4c7.r2.dev/nexc.html
- http://pub-e4b5beda27a847fc9ff07bdb23b36563.r2.dev/Dropbox-Business.html
- http://pub-ecff9b63c2c1497bbcbe5d573900b143.r2.dev/oml.html
- http://pub-f488d77bc04a4676ad79ee159fe7d8c5.r2.dev/index2.html
- http://pub-fbf017af618541b3a76abd75f8dab1b7.r2.dev/new.html
- https://pub-de2f439c6744426586c7612824c1bac2.r2.dev/index.html?pu=https://pub-7e0ea6c6ac8c439a840ed31912409dc9.r2.dev/index.html
